2024年工业控制网络安全态势白皮书-63正式版

目录1.........................................................................................................................................42.2024年工控安全相关政策法规标准.........................................................................................52.1《铁路关键信息基础设施安全保护管理办法》...................................................................52.2《工业控制系统网络安全防护指南》...................................................................................52.3《工业互联网标识解析体系“贯通”行动计划（2024-2026年）》62.4《工业领域数据安全能力提升实施方案（2024-2026年）》62.5《网络安全标准实践指南——网络安全产品互联互通资产信息格式》..........................62.6《数据安全技术数据分类分级规则》.................................................................................72.7《工业和信息化领域数据安全风险评估实施细则（试行）》...........................................72.8《电力网络安全事件应急预案》...........................................................................................72.9《工业领域云安全实践指南》...............................................................................................82.10《网络数据安全管理条例》82.11《工业网络安全态势感知技术规范》82.12《工业互联网企业网络安全》82.13《工业互联网与电力行业融合应用参考指南（2024年）》..........................................92.14《关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展》92.15《工业和信息化领域数据安全事件应急预案（试行）》92.16《工业和信息化领域数据安全合规指引》102.17《电力监控系统安全防护规定》103.2024年典型工控安全事件.....................................................................................................123.1美国海军造船厂遭勒索软件攻击泄露近17000人信息123.2俄罗斯地方电网遭网络攻击大停电，涉事黑客被起诉123.3乌克兰使用破坏性ICS恶意软件FUXNET攻击俄罗斯基础设施133.4美国多地水务工控系统疑遭俄攻击.....................................................................................133.5俄黑客组织沙虫发力，乌克兰多处关键基础设施被破坏.................................................133.6全球首例光伏电场网络攻击事件曝光.................................................................................143.7俄罗斯电力公司、IT公司和政府机构遭遇DECOYDOG木马攻击................................143.8城市供暖系统遭网络攻击被关闭，大量居民在寒冬下停暖近2天153.9全球领先的油田服务商美国哈里伯顿公司遭受网络攻击导致运营中断.........................1523.10网络攻击迫使美国超级机场IT系统瘫痪、航班延误.....................................................153.11勒索组织利用VEEAM软件漏洞攻击尼日利亚的关键基础设施.....................................163.12黎巴嫩寻呼机爆炸，传呼设备成为夺命炸弹163.13美国水务公司IT系统遭网络攻击计费系统暂停.............................................................163.14伊朗核设施等多部门遭网络攻击，美欧实施相关制裁举措174.工控系统安全漏洞概况..........................................................................................................195.联网工控设备分布.................................................................................................................235.1国际工控设备暴露情况285.2国内工控设备暴露情况305.3国内工控协议暴露数量统计情况.........................................................................................335.4俄乌冲突以来暴露设备数量变化.........................................................................................356.工控蜜罐数据分析.................................................................................................................386.1工控蜜罐全球捕获流量概况386.2工控系统攻击流量分析416.3工控系统攻击类型识别446.4工控蜜罐与威胁情报数据关联分析477.工业互联网安全发展现状及未来展望.....................................................................................517.1工业互联网安全发展现状517.1.1517.1.2527.2工业互联网安全当前面临风险与挑战547.3工业互联网安全发展趋势与展望557.3.1557.3.2567.3.3安全技术升级与融合..................................................................................................578.......................................................................................................................................59参考文献....................................................................................................................................6031.前言截至2024年11达102.6297.1%系迫在眉睫，是当下的首要任务。2024年22024—2026《2024年工业控制网络安全态势白皮书》，读者可以通过报告了解2024年工控安全相2024知工控系统安全态势，为研究工控安全相关人员提供参考。42.2024年工控安全相关政策法规标准2024工业互联网的安全体系建设，为工业互联网的稳健发展提供坚实后盾。通过对2024年度发布的一系列政策法规标准进行梳理，并整合各大工业信息安全助读者把握国家在工控安全领域的战略走向。2.1《铁路关键信息基础设施安全保护管理办法》2024年1月22023年第20号2024年2月1全体系建设。2.2《工业控制系统网络安全防护指南》2024年1月30日，工业和信息化部发布《工业控制系统网络安全防护指南》，指指南从安全管理、技术防护、安全运营和责任落实四个方面提出33项基线要求，重点推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。52.3《工业互联网标识解析体系“贯通”行动计划（2024-2026年）》2024年1月31日，工业和信息化部等十二部门发布文件《工业互联网标识解析体系“贯通”行动计划（2024-2026年）》（以下简称《行动计划》）。《行动计划》明确总体目标为“到2026年，建成自主可控的标识解析体系，在制造业及经济社会重点色低碳管理体系、强化安全管理能力、提升城市数字化水平，以及助力产业集群升级。2.4《工业领域数据安全能力提升实施方案（2024-2026年）》2024年2月23日，为了推动《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法（试行）》等在工业领域落地实施，工业和信息化部发布《工业领域数据安全能力提升实施方案（2024-2026年）》（以下监管能力、提升数据安全产业支撑能力。《实施方案》明确提出到2026年底工业领域提供了明确方向和具体措施。2.5《网络安全标准实践指南——网络安全产品互联互通资产信息格式》2024年3月15日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通资产信息格式》。《网络安全标准实践指南》聚焦网络安提供了重要保障。62.6《数据安全技术数据分类分级规则》2024年3月15日，全国网络安全标准化技术委员会发布GB/T43697-2024国家标准《数据安全技术数据分类分级规则》（以下简称《规则》），以推动国家数据分类大学等36家单位共同研制，并在国家数据安全工作协调机制的指导下编制完成。《规则》的发布为我国数据安全管理提供规范化指引。2.7《工业和信息化领域数据安全风险评估实施细则（试行）》2024年5月10日，工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称《实施细则》），自2024年6月1日起施行。《实施细和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平。2.8《电力网络安全事件应急预案》2024年6月7全事件对电力系统的危害。《预案》所指的“电力网络安全事件”包括因计算机病毒、网络攻击等因素导致电力网络和信息系统受损，影响电力供应或系统稳定运行的情况。力安全监管司承担，以确保电力系统的安全稳定运行。72.9《工业领域云安全实践指南》2024年7月232024安全体系，提高云环境下的安全保障能力。2.10《网络数据安全管理条例》2024年9月30自2025年1月1日起施行。该《条例》规范了网络数据安全管理，保护了个人、组织坚实基础。2.11《工业网络安全态势感知技术规范》2024年9月30DB21/T4011—2024《工业网络安全态势感知技术规范》（以下简称《规范》）正式获批，于2024年9月30日对外发布，并将于2024年10月30日起全面实施。《规范》规定了工业网络安全作。该规范的发布将为行业提供一套全面的参考标准。2.12《工业互联网企业网络安全》2024年10月8日，国家市场监督管理总局（国家标准化管理委员会）批准发布了第1部分：8第2第3互联网安全分类分级管理提供指导，助力企业网络安全体系建设与能力提升。2.13《工业互联网与电力行业融合应用参考指南（2024年）》2024年10月15（20248大应用模式、27类应用领域、85项原则、实施流程和要素保。2.14《关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展》2024年10月30强管理和技术监督，确保并网主体按照标准建设，避免“带病入网”。此外，《通知》理，推动营造安全发展的良好环境。2.15《工业和信息化领域数据安全事件应急预案（试行）》2024年10月319事件的应对能力，从而有效地控制和减轻数据安全事件带来的危害和损失，保护个人、组织合法权益，维护国家安全和公共利益。2.16《工业和信息化领域数据安全合规指引》2024年11月1916沟通，指导企业全面遵守相关法规，提高数据安全保障水平。2.17《电力监控系统安全防护规定》2024年12月11全防护规定》（以下简称《规定》），并明确于2025年1月1日起实施。《规定》着应的安全稳定运行。表2-12024国内部分出台政策法规标准出台政策法规标准11月《铁路关键信息基础设施安全保护管理办法》21月《工业控制系统网络安全防护指南》31月《工业互联网标识解析体系“贯通”行动计划（2024-2026年）》41月《基于隐私计算的电力数据共享业务互联互通接口规范（征求意见稿）》52月2024年电力安全监管重点任务》62月《工业领域数据安全能力提升实施方案（2024-2026年）》73月《网络安全标准实践指南——网络安全产品互联互通资产信息格式》83月《数据安全技术数据分类分级规则》《信息技术安全技术抗抵赖第1部分安全技术抗抵赖第93月3部分采用非对称技术的机制》、《信息技术安全技术实体鉴别第4部分采和评价》104月《全国网络安全标准化技术委员会2024年度工作要点》115月《工业和信息化领域数据安全风险评估实施细则（试行）》126月《电力网络安全事件应急预案》136月《网络安全物联网安全与隐私家庭物联网指南》147月《工业领域云安全实践指南》159月《人工智能安全治理框架》169月《网络安全标准实践指南——敏感个人信息识别指南》179月《网络数据安全管理条例》189月《工业网络安全态势感知技术规范》《工业互联网企业网络安全第1部分：应用工业互联网的工业企业防护要求》1910月《工业互联网企业网络安全第2部分：平台企业防护要求》《工业互联网企业网络安全第3部分：标识解析企业防护要求》2010月《工业互联网与电力行业融合应用参考指南（2024年）》2110月《关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展》2210月《工业和信息化领域数据安全事件应急预案（试行）》2311月《工业和信息化领域数据安全合规指引》2411月《新型工业控制蓝皮书》2512月《电力监控系统安全防护规定》2612月《保护关键基础设施(计算机系统)条例草案》3.2024年典型工控安全事件2024在破坏性和规模上呈现出显著增长趋势，波及多个关键行业，包括能源、交通、军工、制造等领域。以下将介绍2024年发生的一些典型工控安全事件，通过这些案例，可以更清晰地应对未来潜在的攻击威胁。3.1美国海军造船厂遭勒索软件攻击泄露近17000人信息2024年1月5日，意大利造船公司芬坎蒂尼集团（Fincantieri）的美国子公司芬坎蒂尼海事集团（FincantieriMarineGroup，FMG）向缅因州监管机构提交了一封违规通2023年4月6日至2023年4月12环境中的某些系统国海军学院在2023年4月的报道称，该造船厂建造了美国海军的自由级濒海战斗舰和星座级导弹护卫舰。3.2俄罗斯地方电网遭网络攻击大停电，涉事黑客被起诉2024年2月2749实施网络攻击，导致沃洛格达地区38个村庄陷入黑暗，将面临最长达8年的监禁。该电网攻击发生在一年前。俄罗斯联邦安全局沃洛格达地区部门的新闻处向塔斯社表示：“我们已经完成对黑客切断沃洛格达地区38个定居点电力供应一事的刑事调查。”俄19752023年2月巴巴耶沃区共38个定居点的电力供应。3.3乌克兰使用破坏性ICS恶意软件Fuxnet攻击俄罗斯基础设施2024年4月15日，SecurityWeek和Claroty部门的一个名为Blackjack的黑客组织对俄罗斯多个重要组织发起了攻击。Blackjack披露了针对Moscollector的涉嫌攻击的细节，Moscollector是一家总部位于莫斯科的公司，NOC们还声称已经禁用了87000Fuxnet网”的恶意软件，这使得他们能够物理破坏传感器设备。3.4美国多地水务工控系统疑遭俄攻击2024年4月18Mandiant1月对美国得克萨斯州一处水处理设施发动网营，这类攻击在过去是十分罕见的。去年11月，宾夕法尼亚州也遭到了类似的网络攻击，当时美国官员指责伊朗是幕后黑手。缪尔舒镇城市经理RamonSanchez告诉CNN统操作水罐的权限。Sanchez在一封电子邮件中表示，被攻击的水罐溢出了大约30-45政府建议各州官员制定安全计划，保护他们的水务系统免受黑客攻击。3.5俄黑客组织沙虫发力，乌克兰多处关键基础设施被破坏2024年4月19CERT-UASandworm）旨在破坏乌克兰约20家关键基础设施的运行。该黑客组织也被称作APT44GRUCERT-UA2024年3APT44破坏了乌克兰10个地区的能源、水务、供暖供应商的信息和通信系统。在某些情况下，Sandworm会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。CERT-UA对受影响实体的日志进行调查后发现，Sandworm主要依靠QUEUESEED/IcyWell/KapekaBIASBOAT、LOADGRIP、GOSSIPFLOW等恶意软件对乌克兰公共事业供应商进行攻击。乌克兰机构认为，这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。3.6全球首例光伏电场网络攻击事件曝光2024年5月1Contec生产的SolarViewCompact大型光伏电网中的800台远程监控设备，用于银行账户盗窃。攻击者利用了PaloAltoNetworks在2023年6月发现的一个漏洞（CVE-2022-29303Mirai5月7日，Contec版本。3.7俄罗斯电力公司、IT公司和政府机构遭遇DecoyDog木马攻击2024年6月6日，FreeBuf早报称，俄罗斯的组织正遭遇网络攻击，这些攻击被发现是传递一种名为DogWindows跟踪这一活动集群，并将其归因于一个名为“HellHounds”的高级持续威胁（APT）组织。HellHounds中，该小组利用了主要的入侵向量，从漏洞的Web服务到可信赖的关系。HellHounds首次被该公司记录是在2023年11Dog木马48工业公司和电信供应商。有证据表明，自2021年以来，该威胁行为者一直在针对俄罗斯公司，恶意软件的开发可以追溯到2019年11月。3.8城市供暖系统遭网络攻击被关闭，大量居民在寒冬下停暖近2天2024年7月23日，有消息称，今年1月中旬乌克兰利沃夫市一家市政能源公司遭DragosFrostyGoop的新型恶意软件。Dragos表示，FrostyGoop恶意软件旨在通过ModbusICSModbus是一不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。3.9全球领先的油田服务商美国哈里伯顿公司遭受网络攻击导致运营中断2024年8月21CNN正在与网络安全专家合作解决这一问题。3.10网络攻击迫使美国超级机场IT系统瘫痪、航班延误2024年8月26日，美国西雅图-塔科马国际机场确认，日前出现的系统中断可运营商最新消息，“西雅图港，包括西雅图-塔科马机场的系统中断仍在继续。港口团索软件组织或其他威胁行为者宣布对这次攻击负责。3.11勒索组织利用Veeam软件漏洞攻击尼日利亚的关键基础设施2024年9月13日，尼日利亚计算机应急响应中心（ngCERT）发布了紧急警报，VeeamBackupandReplication（VBR）软件中的一个高危漏洞（CVE-2023-27532，CVSSv3：7.5分）进行攻击，并且此次事件涉及Phobos勒索组织。CVE-2023-27532影响12及以下版本，允许攻击者未经授权访问敏感数据，包括存储在Veeam配置数据库中的加密和明文凭据。攻Phobos勒索组织利用此Veeam漏洞攻击尼日利亚的云基础设施。成功入侵网络后，攻击者部署勒索软件，加密关键数据，并向受害者索要赎金。3.12黎巴嫩寻呼机爆炸，传呼设备成为夺命炸弹2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（机）爆炸事件。黎巴嫩真主党第一时间发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。当地时间19日，包括对讲机爆炸事件，黎巴嫩公共卫生部长表示，爆炸事件已致37人死亡。3.13美国水务公司IT系统遭网络攻击计费系统暂停2024年10月7日，美国水务公司披露了一起网络攻击事件。这家总部位于新泽西州的美国水务公司拥有超过650024个州和18个军事基地的1400多万人提供供水服务。据报道，当地时间10月3日该公司发现其系统受到了网络攻击，导致计司表示无法预测攻击的全部影响，未来将根据调查结果采取进一步措施。3.14伊朗核设施等多部门遭网络攻击，美欧实施相关制裁举措2024年10月12日，中东局势持续紧张之际，伊朗于12日遭遇大规模网络攻击。前对以色列的导弹袭击。美国试图通过制裁阻止伊朗为其核计划和导弹计划提供资金。冲突、制裁等多方面因素交织下愈发复杂紧张。表3-12024年部分安全事件国家11月制造业安全设备的远程命令注入漏洞被放在暗网出售21月制造业勒索软件海军造船厂遭泄露近17000人信息32月制造业配置错误公司密钥等敏感数据遭暴露42月制造业勒索软件1.5TB数据遭泄露52月俄罗斯能源业木马攻击地方电网遭攻击，38个定居点大停电63月比利时制造业勒索软件据73月俄罗斯勒索软件87000个传感器遭到禁用84月设备漏洞水处理设施遭攻击，水罐溢出94月乌克兰恶意软件多处关键基础设施被破坏105月能源业漏洞攻击800账户盗窃116月俄罗斯多行业木马攻击IT48个组织遭攻击。126月制造业恶意软件工厂生产被迫中断137月乌克兰能源业恶意软件市部分供暖停止两天148月能源业核设施长期暴露关键安全信息158月制造业勒索软件240G敏感信息遭泄露168月能源业勒索软件油田服务商运营停止178月制造业恶意软件生产能力受损188月物流业恶意软件超级机场瘫痪、航班延误199月尼日利亚勒索软件云基础设施遭攻击并被索要赎金209月黎巴嫩通信业后门程序寻呼机爆炸造成大量人员伤亡219月交通业恶意软件19个火车站遭到网络攻击2210月水利业勒索软件1400多万人用水受到影响2310月海湾地区勒索软件大海湾地区关键基础设施遭到攻击2410月能源业核设施等多部门遭网络攻击2511月制造业勒索软件75000个电子邮件地址和400000户数据遭泄露4.工控系统安全漏洞概况随着工业互联网、工业4.0及5G网络的蓬勃兴起，传统工业生产模式正加速向智成为常态，无论是PLC（ProgrammableLogicController，可编程逻辑控制器）、DCS（DistributedControlSystemSCADASupervisoryControlAndDataAcquisition，数据采集与监视控制系统），还是各类工业应用软件，均广泛暴露出众多2024SiemensRockwellAutomationDeltaElectronicsAdvantech自动化公司（mySCADA）、施耐德（Schneider）等工业控制系统厂商均被发现包含各种信息安全漏洞。谛听团队采集到的工控漏洞数据显示，2024年工控安全漏洞数量较20232021年到2024年整体工控安全漏洞数量较2020年之前依旧偏少。图4-12014-2024年工控漏洞走势图（数据来源CNVD“谛听”）根据（国家信息安全漏洞共享平台和谛听2014-2024年工控漏洞走势如图4-1所示。根据图表显示，2015年至2020年间，工控领域的漏洞数量呈2015统进行攻击，从而导致工控漏洞的不断增加。自2021年起，工控漏洞数量迎来了一个转折点，从上年的568条下降至152条，之后漏洞数量总体呈出V字形的走势，2022年仅有9620222024年发现的漏洞数量达到了207条，显著高于2023年的119条。我们的团队推测这一变化的原因是多方面的。首先，不同于日新月异的行业，工业控制领域较为成熟，相关产手段的影响下，2015-2020期间发现的新增漏洞中，多年长期运行在工控系统中的“存量”漏洞具有很大占比，到了2020年，这类“存量”漏洞的挖掘达到顶峰，而随着新2023年和2024ERP量的上升是必然趋势。图4-22024年工控系统行业漏洞危险等级饼状图（数据来源CNVD“谛听”）图4-2是2024年工控高危漏洞业漏洞危险等级饼状图，截至2024年12月31日，2024年新增工控系统行业漏洞207个，其中高危漏洞122个，中危漏洞78个，低危漏洞7个。相较于去年，漏洞数量增加了88个，各种危险级别的漏洞数量都有所增长。其中，低危漏洞相较于去年依然维持约3%的总数占比，没有较大变化。高危漏洞数量相较于去年增多了约1.4420232024年的高危漏洞整体占比从2023年的71%下降到了59%。2024年的中危漏洞相较于去年的数量出现了大幅度的增加，并且在2024年的整体工控漏洞数量中占据较大的比例。由此可见，2024年工控系推动工控系统的安全对抗技术发展迫在眉睫。图4-32024年工控系统行业厂商漏洞数量柱状图（数据来源CNVD“谛听”）如图4-3是2024年工控系统行业厂商漏洞数量柱状图，图中数据显示，西门子（Siemens117RockwellAutomation38个漏洞。此外，台达电子工业（DeltaElectronics）、研华科技（Advantech）、捷克工业自动化公司（mySCADA）、施耐德（Schneider）等厂商也存在着一定数量的工控数量呈现上升趋势。以上数据表明，2024年的工控安全漏洞相对于2023年出现了较大幅度的增长，全全漏洞。虽然相较于前两年来看，近几年的安全漏洞数量维持在较低水平，但是2023年、2024年的安全漏洞数量呈现显著的上升趋势。各厂商应当密切关注工控行业漏洞，确保工控系统信息安全。5.联网工控设备分布济发展的基本要求，也是社会稳定运行的重要基础。根据2024年工业和信息化部印发设备、软件、数据等资产，建立工业控制系统清单并定期更新，实施重点保护。开展战略意义。“谛听”网络空间工控设备搜索引擎共支持31种服务的协议识别，表5-1展示了参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。表5-1“谛听”网络空间工控设备搜索引擎支持的协议工控协议Modbus502/503应用于电子控制器上的一种通用语言TridiumNiagaraFox1911Tridium公司专用协议，用于智能电网等领域NiagaraFox4911智能建筑、基础设置管理、安防系统的网络协议BACnet47808智能建筑的通信协议Devices10001工控协议MoxaNPort4800虚拟串口协议EtherNet/IP44818以太网协议Siemens102西门子通信协议20000分布式网络协议Codesys2455ilonSmartserver1628/1629智能服务器协议RedlionCrimson3789工控协议60870-5-1042404系列协议9600欧姆龙工业控制协议CSPV42222工控协议GESRTP18245美国通用电器产品协议PCWorx1962菲尼克斯电气产品协议ProConOs20547科维公司操作系统协议MELSEC-Q5006/5007三菱通信协议opc-ua4840UA接口协议DDP5002用于数据的传输和Profinet80基于工业以太网技术的自动化总线标准61850-8-1102系列协议Lantronix30718专为工业应用而设计，解决串口和以太网通信问题物联网协议5672提供统一消息服务的应用层标准高级消息队列协议XMPP5222的可扩展通讯和表示协议8089简单对象访问协议MQTT1883基于客户端-服务器的消息发布/订阅传输协议摄像头协议DahuaDvr37777大华摄像头与服务器通信协议hikvision81-90海康威视摄像头与服务器通信协议ONVIF3702开放型网络视频接口标准协议“谛听”官方网站（）公布的数据为2017年以前的历史数据，若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”5-1的柱状图展示，下面做简要说明。图5-1显示了2024年全球工控+物联网设备暴露Top-10国家/地区。分析图中数据可知，国家排名与2023年的排名相比基本保持不变，排名前三的国家依然是相同的。机械领域表现突出，其排名与2023年相比保持不变，仍然位列第三。本章节着重介绍国内及美国、加拿大的工控设备暴露情况。图5-1全球工控物联网设备暴露Top10柱状图（数据来源“谛听”）图5-1显示了2024年全球工控+物联网设备暴露Top-10国家/地区。分析图中数据可知，国家排名与2023年的排名相比基本保持不变，排名前三的国家依然是相同的。机械领域表现突出，其排名与2023年相比保持不变，仍然位列第三。本章节着重介绍国内及美国、加拿大的工控设备暴露情况。工业互联网中设备之间的高效、可靠互联和数据交换。图5-2和图5-3分别为全球工控设备暴露Top10柱状图和全球物联网设备暴露Top10露排名中，美国、加拿大、中国分别位列前三。美国的漏洞数量远超其他国家，达到143,999个。加拿大以22,427个漏洞排在第二，和美国相比，数量差距很大。接下来中16,49614,31211,30710,592西班牙（10,462）、英国（7,186）、意大利（7,034）和瑞典（7,026）的漏洞数量相对接近，显示出这些国家在工控系统安全方面的问题比较一致。图5-2全球工控设备暴露Top10柱状图（数据来源“谛听”）图5-3全球物联网设备暴露Top10柱状图（数据来源“谛听”）流传输和数据交互的标准。常见的摄像头协议有ONVIF，hikvision，DahuaDvr等。图5-4为全球摄像头设备暴露Top102023一，中国位列第二，美国位列第三。图5-4全球摄像头设备暴露Top10柱状图（数据来源“谛听”）5.1国际工控设备暴露情况国际工控设备的暴露情况以美国和加拿大为例进行简要介绍。美国是世界上工业化程度最高的国家之一，同时也是2024年全球工控设备暴露最产效率。图5-5为美国2024年暴露工控协议数量及占比。图5-5美国工控协议暴露数量和占比（数据来源“谛听”）20231613462024少至143998台。这一变化不仅反映了美国在工业互联网安全问题上的高度重视，也体现了其在加强相关安全措施方面所付出的努力。2024年6月13日，美国网络安全和基CISA入2024年10月29日，CISA发布了《2025-2026财年国际战略计划》，旨在加强CISA与国网络安全环境，保护关键基础设施和敏感数据。2024年，加拿大的工控设备和物联网设备暴露数量位居全球第三，与2023年的排术和自动化系统，推动数字化转型。通过图5-6可以看到，在加拿大暴露的工业协议数量中，排名第一，Modbus协议暴露数量排名第二。图加拿大工控协议暴露数量和占比（数据来源“谛听”）综合来看，2024年相较于2023年，伴随工业控制互联网安全的发展，全球工控协入越来越多。加拿大工控协议设备暴露数量相比2023年略微降低。美国和加拿大作为控互联网安全对国家经济发展的重要性。5.2国内工控设备暴露情况2024年，中国暴露的工控设备数量在全球范围内依旧位居第二，相比于2023年，业互联网创新发展战略，今年以来，我国加快工业互联网创新发展，加速千行百业融合应用，为推动经济高质量发展提供强劲动能。工信部印发《打造“5G+工业互联网”512促进实体经济和数字经济深度融合。下面详细分析一下国内工控设备暴露情况。图5-7为国内各地区设备暴露数量Top10所减少。2024业化迈出新的坚实步伐，工业体系全、品种多、规模大的优势进一步巩固。预计全年，规模以上工业增加值同比增长5.7%国各地区工控设备暴露数量的减少，侧面反映了国内工控互联网安全防护水平的提升，工控互联网安全工作卓有成效。图5-7国内各地区工控设备暴露数量Top10（数据来源“谛听”）20242024年前11个月，浙江省规模以上工业增加值同比增长了7.3%1.5个百分点省经信厅表示，2025浙江特色的现代化产业体系，为浙江作为经济大省做出更大的贡献。而在推进浙江省效执行，实现工业的长期发展。2023年，台湾在工控领域暴露的设备数量为15366台，而到了2024年，设备数量减少至1300612月9日，2024动两岸工业互联网创新促进两岸产业融合发展”为主题，发布了《2024两岸工业互联化协同、数字化管理、绿色化生产等方面的19个典型案例，充分展示了工业互联网推成热烈反响[9]。此次会议为进一步促进两岸工业互联网的融合发展奠定了坚实的基础，也为两岸产业在全球产业链中的升级与发展注入了新的活力与动力。与2023年相比较，北京市工控设备暴露数量排名小幅度下降，位列第三名，“十四五”以来，北京在数字经济产业的前沿领域不断探索，催生出丰富的数字经济业态，全市规模以上工业增加值同比增长6.9%，居近年来的高位，对北京经济增长的贡献率达15%制造业分别增长19.5%和18.4%；新能源汽车、工业机器人和风力发电机组产量分别增长5.5倍、62.8%和21.2%。这些竞相跑出加速度的高技术制造业、战略性新兴产业，共同铺展出北京制造业向高端化、智能化转型的图景。的发展，努力实现经济重振，为国家“振兴东北”的战略目标贡献了重要力量。2024全球工业互联网大会于2024年9月11日至14以造业数字供应链平台等一系列创新成果2024年11月，辽宁省工业和信息化厅印发《辽宁省工业领域数据安全能力提升实施方案(2024-2026年)》，该文件中提到要以字辽宁20265G+5G+5G+5G+设备工业高质量发展取得积极进展。5.3国内工控协议暴露数量统计情况图国内工控协议暴露数量和占比（数据来源“谛听”）20245-8中的数据可以看出，Modbus协议暴露的数量位居首位，其次是MoxaNPort协议。Modbus协议是一种被广泛应用于工业领域的通信协议，它是由Modicon公司（现施耐德电气SchneiderElectric）于1979年发表。Modbus是一种主从式协议，一个主节点（master）与一个或多个从节点（slave）进行通信。Modbus协议兼容多种通信介质，常见的Modbus实现方式有基于串行通信的ModbusRTUModbusASCII和基于以太网的ModbusTCP/IP。Modbus协议具有开放性、易实现等特点，被广泛应用于工业自动化、过程控制、监测管理等领域。尽管Modbus存在着安全性低、实时性弱等局限性，但它仍然是当前工业领域最常用的通信协议之一。MoxaNPort协议是由Moxa公司开发，专为MoxaNPort串口设备联网服务器设计ModbusTCP/IPTelnetMoxaNPort协议具输等领域。EtherNet/IPODVA（OpenDeviceNetVendorAssociation）推广和维护，用于工业控制系统中的设备数据交换。EhterNet/IP支持显示联网领域中。Niagara协议是由TridumNiagaraFramework的一种通信协议。NiagaraFramework是一个基于Web的开放的集成平台，能够连接和协同不同制BASNiagara协议与Niagara生态系统紧密集成，提供了设备管理、数据采集、数据集成等功能，用于在Niagara节点之间进行高效的数据交换。OMRON协议是由OMRONOMRON公司自动化设备之间的数据交换，特别是用于通信。该协议能够提供高效可靠的通信，互联网、能源管理等领域。5.4俄乌冲突以来暴露设备数量变化2022间，网络战已然成为现代战争中不可或缺的一部分。网络战以其低成本高效能的特点，5-2列举了目前俄罗斯和乌克兰暴露工控设备的相关协议。表5-2俄罗斯、乌克兰暴露工控设备相关协议探测发现协议探测端口协议概述Siemens102西门子通信协议Modbus502应用于电子控制器上的一种通用语言ilonSmartserver1628智能服务器协议MoxaNPort4800Moxa专用的虚拟串口协议XMPP5222的可扩展通讯和表示协议5672提供统一消息服务的应用层标准高级消息队列协议60870-5-1042404系列协议趋势。图5-9展示了2024年乌克兰各协议暴露设备的数量，可以看出AMQP协议暴露的设备数量总体从冲突前到24年1月下降幅度较大，后续随小有波动，但总体呈现缓慢下降趋势；Modbus协议协议在24年基本呈现平稳下降趋势；MoxaNPort协议在24年初小幅度上升，随后趋于平稳；其他协议呈现波动变化，整体比较稳定。图乌克兰暴露设备数量变化（数据来源谛听）图5-10展示了2024年俄罗斯各协议暴露设备的数量，AMQP协议暴露设备数量在24年变化幅度不大，总体趋于稳定；Modbus协议在24年3月到7月出现大幅度下降，24年8月到924年初水平；MoxaNPort协议在24年2月至6月逐渐下降，随后缓缓回升；其他协议变化虽有波动，但幅度不大。图5-10俄罗斯暴露设备数量变化（数据来源谛听”)总体来看，2024年的关键时期集中在3月到6持续跟进情况。6.工控蜜罐数据分析随着工业互联网的持续演进，工业控制系统（ICS）所处的网络安全环境愈发复杂谛听”网络安全团队长期致谛听”工控蜜罐。目前，谛听”工控蜜罐已经支持12种工控协议，并且在多个国家与地区实现部署。2021年，“谛听网络安全团队进一步改进了基于蜜网的攻击流量指纹识别方法（以下简称识别方法”出针对多类型攻击流量且更加有效的工控系统防御措施。6.1工控蜜罐全球捕获流量概况谛听”工控蜜罐在原10种协议基础上，于2022年新增了EGD协议，2023年进一步加入了Modbus/UDP协议。目前“谛听”工控蜜罐涵盖了Modbus、ATGsDevices、DNP3IEC104Niagara等12谛听”工控蜜罐已经部署在了中国华北2024年12月31“谛听蜜罐成功收集到了大量攻击数据。图6-16-2和6-3展示了对这些数据统计和分析后的结果。下面将对各个图表进行简要的解释说明。图6-12024年蜜罐各协议攻击量（数据来源“谛听”）图6-1展示了不同协议下各蜜罐受到的攻击频次。从图中可以看出ModbusDNP3和ATGsDevices2023名前三的协议分别为ATGsDevices、OMRON和DNP3，而OMRON协议在Modbus协议从2023且受攻击量遥遥领先其他协议，这表明Modbus协议受到的关注大幅度增加。此外，除OMRON和Modbus/UDP协议外，其他协议受攻击的数量都相较于2023年均呈现79.9%，些协议下设备的网络安全防护措施。“谛听”网络安全团队对攻击数据的源地址进行了分析，统计了来自各个国家和地区的攻击源数量信息。图6-2特别呈现了攻击次数最多的前十个国家的概况。从图中数据可以观察到，德国在攻击量上显著领先，以348,869次攻击量位列第一，甚至超过了其他9国以117,364次攻击量位列第二，尽管攻击量远低于德国，但依然远在其他国家之上。加利亚、俄罗斯、日本和荷兰排名第六至第十位，其攻击量均低于1万。图6-22024年其他各国对蜜罐的攻击量Top（数据来源谛听）图6-3对中国国内流量来源的地址进行分析，列出了流量排名前十的省份。41%22%，位列第二。虽然较2023年有所下降，并被北京超越，但其依然是国内流量的主要来源位。除此以外，江苏和上海的流量占比也较高，分别为13%和11%，其余各省都低于3%。图6-32024年中国国内各省份流量（数据来源“谛听”）2024团队会融合更多前沿技术，持续推进相关研究。6.2工控系统攻击流量分析分析。随后，我们选取了应用广泛的Modbus和Ethernet/IP两种协议，采用相应的识别两个地区，分别对其部署的蜜罐所捕获的攻击流量数据进行了详细的统计分析。对于Modbus协议，我们选择了部署在中国华东地区和美国东海岸地区的蜜罐，统计结果如表6-1、6-2所示。表6-1中国华东地区Modbus蜜罐捕获攻击总量来源TOP10（数据来源“谛听”）攻击源攻击总量平均攻击数UnitedStates609755311.0Kingdom16962373.7Italy156211562.09641715.6Germany4812024.1Canada4681553.03223107.3Belgium2781422.0Greece151437.8Russia73164.6表6-2美国东海岸地区Modbus蜜罐捕获攻击总量来源TOP10（数据来源“谛听”）攻击源攻击总量平均攻击数UnitedStates30958143.87001225.7Belgium3241412.3Canada3071851.7UnitedKingdom236653.6Italy1401140.0Germany138413.4Netherlands110225.0Japan3374.7India2847.0根据表6-1、6-2可知，在攻击总量来源方面，中国华东地区和美国东海岸地区Modbus协议蜜罐捕获的攻击总量中，来自美国的攻击总量均显著高于其他国家，且高于去年同期数据。在攻击数量方面，美国仍在两个地区中均排名第一且远超于其他国家。以表6-2为例，美国在美国东海岸地区的攻击数量约是排名第二的比利时的9.6倍。针对Ethernet/IP协议，我们选择的是中国华南地区和美国西海岸地区部署的蜜罐，统计结果如表6-3、6-4所示。表6-3中国华南地区Ethernet/IP蜜罐捕获攻击总量来源TOP10（数据来源“谛听”）攻击源攻击总量平均攻击数States9123342.7136344.0Canada38351.1Belgium34331.0Netherlands1452.8UnitedStates531.7Germany551.0Seychelles321.5Kingdom321.5France212.0表6-4美国西海岸地区Ethernet/IP蜜罐捕获攻击总量来源TOP5（数据来源“谛听”）攻击源攻击总量平均攻击数UnitedStates11723903.0303545.6Canada50461.1Belgium37351.1Netherlands29142.1由表6-3、6-4分析可知，在攻击总量来源和攻击数量方面，美国在中国华南地区和美国西海岸地区的攻击总量和攻击数量均排名第一，且远超其他国家。通过对Modbus协议蜜罐和Ethernet/IP现Modbus协议蜜罐遭受的攻击次数高于Ethernet/IPModbus协议在工业自动化领域的广泛和长期应用，使其潜在攻击面更大，且协议的复杂度和已知安全漏洞可能吸引了更多攻击者。同时，网络中Modbus协议设备的数量和暴露程度可能也高于Ethernet/IPModbus协议蜜罐受到攻击的概率。因此，虽然Modbus协议在工控系统中应用广泛，但也面临更高的攻击风险。家攻击总数的90%为了发现系统漏洞、测试防御机制，可能会进行大量的网络扫描和攻击模拟。“谛听”团队布署的蜜罐能够成功捕获这些行为。6.3工控系统攻击类型识别能够对Ethernet/IP协议和Modbus6-4和图6-5分别展示了对Ethernet/IP和Modbus协议蜜罐捕获的攻击流量的攻击类型识别结果。其中，“E”代表Ethernet/IP协议，“M”代表Modbus协议。由于国内外使用的蜜罐程序有所不同，同一编号的“EE'MM'”也表示不同的攻击类型。环形图中的各个部分则对应不同的攻击类型。图6-4Ethernet/IP协议攻击类型占比图（数据来源“谛听”）Ethernet/IP部署蜜罐，可以收集到更全面的攻击信息，也易于发现新型攻击手段。由图6-4可知，中国华南地区的Ethernet/IP协议蜜罐捕获的攻击流量主要采用的攻击类型为E-1、E-2、E-3、E-4、E-5，其中E-1以53%的高占比成为该地区Ethernet/IP协议蜜罐所捕获的攻击流量的主要攻击类型。美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击流量采用E'-1、E'-2、E'-3、E'-4、E'-5五种攻击类型，其中，E'-1约占所捕获总流量的48%。由此可见以上攻击类型是对Ethernet/IP协议进行攻击的主要手段。图6-5Modbus协议攻击类型占比图（数据来源“谛听”）“谛听”团队将Modbus协议蜜罐部署在工业发达的中国华东地区和美国东海岸，这两个地区的工业控制设备数量庞大，将Modbus协议蜜罐部署在两地不但易于伪装隐藏，且能够收集更多的攻击信息，也易于发现新型的渗透攻击手段。由图6-5国华东地区的Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M-1M-2M-3类型，这三种攻击的数量大致相当，均约占捕获总流量的23%Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M'-1、M'-2，其中M'-1攻击类型占所捕获总流量的40%占比约30%Modbus协议进行攻击的主要手段。本团队对Ethernet/IP和Modbus的ICS仍有一些未知的攻击类型尚未被完全识别。针对这些未知攻击，仍需深入研究和分析，以便更有效地检测流量中的异常行为并进行攻击预警，从而评估潜在的攻击意图，并制定相应的防御策略。6.4工控蜜罐与威胁情报数据关联分析进行勒索。当前，工控攻击展现出多样化、广泛传播及难以溯源的特点。在此背景下，TI现潜在的威胁趋势和攻击模式，从而提前采取防范措施。我们的团队对2024年全年采集到的威胁情报和蜜罐数据进行了关联分析。由“谛听”网络安全团队开发并于2021年2月上线的威胁情报搜索引擎（https://www.TI）是基于“谛听”威胁情报中心而研发的应用服务。威胁情以威胁情报平台为基石的网络安全空间。2024将数据分为5（proxycommandexecutionandcontrolattacks（reputationspammingtor每种类型数据与蜜罐数据重叠部分在二者中的占比如图6-6图6-6威胁情报与蜜罐数据关联占比（数据来源谛听”）图6-6中威胁情报数据来源于“谛听”威胁情报中心，该系统所记录的数据为安全的地址确实发生了工控攻击，这可以让系统更有针对性的对攻击进行防御。下面对具体的数据进行分析。2022年和2023年类似，2024IPln函数计算后达到了9.871‰。本团队认为发起代理IP、命令执行与控制攻击、垃圾邮件和洋葱路由攻击的地址，在主观判断上均可被归类为“恶意IP”，IPIPIP但今年“命令执行与控制攻击”关联占比出现了小幅度的下降。“命令执行与控制攻击”理过程，如电力系统、制造过程、水处理等，此类攻击所构成的安全威胁极为严峻。IP作为一种特殊的资源，其使用常常受到严格管理。这些会由专门的管理人员进行监管，一旦发现某用户频繁通过特定的代理发起攻击行为，管理人员会迅速回收该IP得攻击者更趋向于采用多样化的手段对工控系统进行全方位的攻击。为支撑高精度数据采集，“谛听”团队同步研发了工控网络探针——一种专为工业控制系统设计的网络数据捕获与协议解析工具。支持超过30种工式转换。不仅能够高效捕获原始网络流量，还可以将网络流量数据转换为更json其进行异常检测等进一步分析。图6-7不同流量上Honeyeye和Wireshark解析时间对比（数据来源谛听”）从图6-7Wireshark针可以作为插件被其他框架所整合，从而提高的可用性。未来，将持续优化其性能，扩展对更多工控协议的支持，并计划加入对力。7.工业互联网安全发展现状及未来展望7.1工业互联网安全发展现状7.1.1工业互联网安全产业发展现状业经济发展报告（2024年）》显示，2023年我国包括安全在内的工业互联网核心产业规模达1.399.80%2024年规模达到1.5310.65%。工业互联网安全产业分为安全产品和安全服务两大类按照功能又划分为防护类和管理类产、确保系统与业务流程符合安全规范，从根本上降低了风险发生的可能。MSS越来越多企业的青睐。务......国际企业在全球市场中凭借技术联盟和跨行业合作已经形成了多层次布局。数字化转型提供了有力保障。表7-1工业互联网安全产业结构[18][19]一级分类二级分类典型产品或服务防护类产品防病毒软件、应用白名单、工业安全审计等安全产品管理类产品态势感知、安全合规管理、身份认证管理、资产管理、补丁管理等工业互联网安全产业结实施类服务安全集成、安全加固等构运营类服务安全应急、安全培训、安全托管等

安全服务管理类服务安全运维管理、身份认证管理、安全结构管理等咨询类服务安全评估、安全咨询等7.1.2工业互联网安全技术发展现状击手段层出不穷，从恶意软件入侵、网络钓鱼到高级持续性威胁，攻击方式花样繁多。技术深度融合，成为了增强工业互联网安全防护体系的必然选择。序，帮助企业及时进行修复和防范。册、认证和管理，确保只有合法的设备能够接入，防止非法设备的入侵和攻击，同时，管理。发现和处理潜在的安全威胁，实现边缘设备、云端和本地系统之间的安全协同与联动，设备进行联动，共同应对安全威胁，提高整体安全防护能力。Azure等科技巨头纷纷推出针对工信等通信运营商积极推进“5G+工业互联网”的融合应用，通过构建高可靠性的5G专国电信合作实现了5G专网全覆盖，打造了智能制造工厂，即所谓的“无人车间”。天中落地。7.2工业互联网安全当前面临风险与挑战IoT5G据、云计算、人工智能等技术的深度融合，这使得其面临的安全风险更为复杂和严峻，其中设备安全、平台安全和网络安全是最为突出的三个方面。量化设计，因此其计算和存储能力受限，安全防护能力较低。APT对平台安全构成直接威胁。网这种依赖于局域网的快速交换网络中更容易迅速扩散。例如，Egregor是一种专门针对企业和工业控制系统的高危勒索软件，一旦Egregor病毒侵入工控网络，就会迅速加密系统中的关键数据和文件，导致生产流程中断，严重威胁工控系统安全。5G网络与工控网络的深度融合也给工控网络安全带来了新的挑战。5G网络使得更多的物联网设备得以接入网络进行实时的数据交换，在5G网络的切片结构导致网络管理的复杂度增强的情况下，攻击者有更多的机会找到并利用漏洞进行入侵。另外，5G技术的低延迟特性也使得攻击者能够更快地发动攻击，并在更短的时间内造成更大的破坏。面对5G与工控网络融合带来的新风险，加强工控网络的安全防护显得尤为迫切。层次、立体化的安全防护体系，以应对不断演变的安全威胁。7.3工业互联网安全发展趋势与展望7.3.1政策标准完善与优化2024年1月30日，工业和信息化部发布了《工业控制系统网络安全防护指南》。一个安全、可靠的网络环境，推动工业数字化转型的顺利进行。2024年9月9会（简称“网安标委”）发布了《人工智能安全治理框架》1.0版（简称《框架》）。必须考虑其对社会和环境的影响，